Seberapa banyak password yang anda punya? Hal ini sebetulnya pertanyaan yang terkadang membuat kita jengah. Kita tahu bahwa hampir setiap aplikasi meminta user dan password kepada kita. Lalu apa yang kita lakukan? bisa jadi kita lalu membuat sama password untuk semua aplikasi yang kita daftarkan. Bayangkan betapa rentannya keamanan kita? Pada tulisan ini saya ingin mengenalkan mengenai konsep passwordless authentication, sebuah konsep membangun aplikasi berotentikasi dengan tanpa password. Kebetulan pada pertemuan Surabaya JS beberapa saat lalu, salah satu pemateri menunjukan Zeit, yang sudah melakukan implementasi passwordless authentication.
Definisi passwordless authentication saya cuplik dari https://searchsecurity.techtarget.com/definition/passwordless-authentication
Passwordless authentication is a verification process that determines whether someone is, in fact, who they say they are without requiring the person to manually enter a string of characters.
Secara singkatnya, passwordless authentication adalah proses verifikasi suatu user dengan tidak memasukkan serangkaian karakter tertentu.
Banyak contoh dari aplikasi yang sudah melakukan implementasi passwordless authentication, contohnya adalah whatsApp dan Slack. Kebanyakan memang merupakan aplikasi yang berbasis mobile.
Dari https://searchsecurity.techtarget.com/definition/passwordless-authentication juga disebutkan bahwa manfaat dari implemantasi passwordless authentication antara lain:
- Memberikan pengalaman user interface yang berbeda
- Waktu login yang lebih cepat
- Tidak memerlukan manajemen password
- Mengurangi phising
- mengurangi kebocoran password
- dan mengurangi penggunaan kembali password yang sama di aplikasi lainnya
Ada beberapa metode yang digunakan dalam implementasi passwordless authentication, antara lain:
- Menggunakan otentikasi melalui email, dimana user akan memasukkan email kemudian akan dikirimkan magic link untuk akses. Terkadang selain magic link juga mengirimkan kode tertentu yang harus diketikkan.
- Menggunakan otentitkasi melalui SMS. Hampir mirip dengan metode di atas, hanya saja media yang digunakan adalah melalui SMS.
- Otentikasi Multi faktor. Jadi selain user harus login (dengan user dan password) ada tambahan untuk memasukkan inputan tertentu seperti misalnya pertanyaan keamanan, pin atau data kontak.
- yang terakhir adalah biometrik, yaitu identifikasi menggunakan struktur tubuh. Saat ini yang lazim digunakan adalah sidik jari dan wajah.
Namun apakah konsep passwordless authentication ini tanpa celah? ternyata tidak bisa seratus persen kita mengatakan bahwa penggunaan konsep passwordless authentication akan meningkatkan keamanan kita hingga seratus persen. Masih ada beberapa catatan yang harus diperhatikan. Seperti yang dituliskan di https://www.okta.com/security-blog/2018/04/is-passwordless-authentication-actually-secure/ . Misalnya saja pada media email, dimana masih ada saja email tidak terenkripsi dengan baik, sehingga konten pada email dapat dengan mudah dilihat. Begitu juga dengan SMS yang rentan dengan penyadapan. Okta.com merekomendasikan beberapa hal berikut untuk meningkatkan keamanan pada passwordless authentication:
- menggabungkan otentikasi multi-faktor
- Fitur keamanan yang bersifat adaptif,
- Deteksi anomali pada aplikasi yang berjalan